当前位置:首页>新闻中心>技术分享>航芯:电子产品如何硬刚「盗版」这些知识速来了解

航芯:电子产品如何硬刚「盗版」这些知识速来了解

发布时间:2024-04-09

前言


嵌入式应用无处不在,从消费电子到工业控制,让智能化生活触手可及。然而,在便利的背后,安全威胁也在不断增加,针对电子设备的安全攻击事件层出不穷。因此,如何保护设备不被入侵或篡改始终是一项关键设计挑战。


「多场景下的安全认证需求」


在多样化的应用场景中,安全认证是确保每一次通信都安全可靠的关键要素。


电路防抄板:提升产品被仿制的难度


为避免产品一经上市,就被同行“模仿”让努力都付之东流,甚至失去市场份额。安全认证芯片能在版权保护中发挥关键作用,有效防范反向工程攻击,避免被未授权的第三方拷贝程序和仿冒。


电子配件认证:杜绝伪造守护品质安全


因假冒伪劣配件而不断引发的安全事故,将危及设备功能和用户安全,从而损害品牌价值。安全认证芯片可用于验证配件真伪,确保仅授权的正品配件得以使用。适用于智能设备电池、打印机墨盒、电子烟烟弹、滤水器和净水器、可穿戴设备、电动工具等应用。


医疗耗材认证:配套产品的质量管控


针对医疗耗材,安全认证芯片可用于存储传感器的关键医疗参数,确保耗材能精准校准到仪器。且可用于验证配件真伪,防止使用未经授权的耗材。适用于血氧监护仪、心电监护仪、B超探头、便携式呼吸机等应用。


汽车配件认证:保障汽车零部件安全


针对汽车配件,安全认证芯片可嵌入任何有被伪造风险的汽车外围设备,用于识别和校准汽车配件,通过验证汽车组件确保车辆安全性和可靠性。适用于汽车摄像头、传感器、电动汽车电池、前灯模块、车载香氛等应用。


工业设备安全:让智能化与安全并行


在工业自动化中,安全认证芯片用于确保机器和传感器的数据传输不被篡改和伪造,防止因外部攻击引发的信息泄露和系统崩溃等问题。


芯品推荐:航芯ACL16_A系列


针对以上应用,航芯推出了一款专为设备认证设计的安全芯片ACL16_A系列。这款芯片集成了多项安全特性,实现数据加密和安全认证的双重功能,能够轻松应对各种复杂的设备认证挑战。采用1-Wire单总线通信,实现简化设计和高效传输,大幅提升认证速度。更为精巧的LGA4封装设计显著减少了空间占用,为设计人员在产品布局上提供了更大的灵活性。而且设计人员无需具备深厚的安全加密知识,也能轻松地将ACL16_A系列芯片嵌入到产品中,实现快速开发和高效安全认证。


「两种算法满足多样化安全认证需求」


对称加密算法:满足基础级安全需求


ACL16_AHM系列是一款基于对称加密算法的安全认证芯片。采用1-Wire单总线通信,集成了HMAC和SHA-256算法引擎、FIPS/NIST兼容真随机数发生器、128-byte安全EEPROM用户存储区、20位仅递减计数器和唯一的64位ROM识别码。


ACL16_AHM:HMAC实现安全认证


ACL16_AHM基于对称加密算法,即加密和解密使用相同的共享密钥。而HMAC利用对称加密,可以实现“认证”和“检测篡改”这两个功能。


HMAC实现安全认证的过程


由主机向认证器件发送一个随机数挑战。认证器件用共享密钥加密随机数,并使用SHA-256对加密结果进行HASH运算,生成一个哈希值作为签名,并将运算结果发送给主机。主机执行相同的运算并对结果进行比较,如运算结果相同,则认为认证器件是一个合法设备。ACL16_AHM系列HMAC认证的运算时间约5ms。


ACL16_AHM:性能优势和适用场景


HMAC-SHA256算法使用了哈希函数,其计算效率高,对系统性能的影响较小,适用于对认证应答实时性要求高,而主机设备性能要求不高的应用场景,可以在降低成本的同时实现安全认证的需求。


非对称加密算法:满足进阶级安全需求


ACL16_AEC系列是一款基于非对称加密算法的安全认证芯片。采用1-Wire单总线通信,集成了ECDSA和SHA-256算法引擎、FIPS/NIST兼容真随机数发生器、1KB安全EEPROM存储区、20位仅递减计数器和唯一的64位ROM识别码。


ACL16_AEC:ECDSA实现安全认证


ACL16_AEC基于非对称加密算法,即加密和解密使用不同的密钥:公钥和私钥。公钥用于加密数据或验证数字签名,可对外界公开;私钥用于解密数据或创建数字签名,仅所有者知道。并且,密钥将经过证书授权中心签发数字证书,明确了密钥所有者的身份信息。


所以,ECDSA利用非对称加密,既可以实现“认证”和“检测篡改”的功能,还可以验证密钥所有者的身份,具有更好的防止伪造能力。


ECDSA实现安全认证的过程


由主机向认证器件发送一个随机数挑战。而认证器件根据随机数和私钥,使用ECDSA计算数字签名,并将运算结果发送给主机。主机使用公钥对数字签名进行验证。如果结果一致,则认为认证器件是一个合法设备。ACL16_AEC系列ECDSA的运算时间约250ms。


ACL16_AEC:性能优势和适用场景


ECDSA-SHA256算法结合了椭圆曲线密码学和SHA-256的强安全性,加密强度要高于HMAC;相较RSA算法,ECDSA用更短的密钥长度,实现更高的安全性,对存储空间和传输带宽占用较少。适用于对安全性要求高,且主机设备具备高性能的移动设备和嵌入式系统。


「密钥安全存储难题:航芯有什么高招」


面对不断进化的安全攻击手段,密钥存储的安全性成为了薄弱环节。所以,从密钥的「诞生」到经历千万次的运算「功成身退」,航芯将层层把关每道安全防线,守护产品在全生命周期的功能安全。接下来,我们将深入解读航芯ACL16_A芯片所具备的一系列强大的安全特性。


密钥的安全生成:实现长效密钥保护


ACL16_AHM密钥的生成:采用对称算法体系,使用共享密钥。密钥可以通过真随机数发生器创建或支持客户定制。通过具有高度安全和保密性的生产环节,以密文方式从外部写入芯片中。


ACL16_AEC密钥的生成:采用非对称算法体系,使用「公私钥对」。密钥通过芯片内置的真随机数发生器和ECDSA硬件算法引擎,自主创建 1 组密钥,或支持外部写入,通过证书链便于管理,使密钥分发更安全。通常私钥是固定的,但每次应用时都会加入随机数,所以外部看到的密钥是在变化的。


密钥的生命周期与安全性:航芯安全芯片存储寿命至少10年,而密钥在全生命周期内都是有效的。在使用的过程中,虽然密钥是固定的,但每次认证质询的随机数不同,所以无法通过模拟单总线上的数据进行破解。


安全存储功能:敏感信息的坚实盾牌


加密存储:安全EEPROM存储区上的数据采用加密存储,并且存储地址使用串扰,从而使得数据在物理层面上不易被直接读取或解码。


权限管理:存储器是可配置的,用于储存用户数据、密钥、控制寄存器、认证证书等。存储器分为32页,每页32字节,每个存储页面都可以配置特定的访问规则,如允许读写、只读或需要验证后才能访问,确保只有经过授权的操作才能对特定页面进行读写,从而实现了对敏感数据的精确控制。例如,可根据实际应用设定密钥的访问权限,实现配置不同安全等级的密钥。


指令控制:指令集包括ROM和Function两大部分,它定义了处理器可以执行的操作,包括对存储器的访问和控制。通过指令集可以实现对存储器的加密、访问权限验证、数据完整性校验等安全措施。例如,当密钥被配置为不可读出后,可通过命令获得对应的公钥来实现验证功能。


固件IP保护:该功能支持安全启动和安全更新,为设备提供了一个可信任的运行环境。通过在PCB上放置安全芯片,固件运行时验证安全芯片是否有正确的密钥,即使固件被复制也会因为没有密钥而无法运行,以此来实现对代码的保护。


可靠的反制措施:防御多种安全攻击


通过在密钥参与运算时引入真随机数掩码技术,有效掩盖了在加解密和签名验证过程中因数据运算引起的功耗泄露,有效防御DPA/SPA攻击;通过监测电压、温度和电磁场等关键参数,确保硬件在安全的环境中运行,任何超出正常范围的波动都可能触发警报,促使系统采取保护措施,有效抵御DFA错误注入攻击。


赋予芯片身份标识:确保精准识别与安全


128位唯一序列号 (UID):该序列号绑定了芯片出厂的LOT/WAFER ID和坐标等。该序列号唯一且不可复制,不支持读出。开发者可将应用程序与该芯片的序列号绑定,这样可以使每个下载应用程序的芯片不可被复制。


64位唯一ROM识别码 (ROM ID):每个芯片都有唯一且不能更改的64位ROM地址码,该地址码由工厂光刻写入芯片,为每个芯片提供了一个不可篡改的身份标识,防止身份伪造和非法复制。


「1-Wire单总线:简化设计和高效传输」


1-Wire单总线使用1-Wire和GND两根线,借助芯片内部二极管和外置电容器件,将1-Wire总线上的方波信号转换成直流电源信号,为从机的硬件系统提供电源输入,实现主机与一个或多个设备之间的通信,可提供稳定可靠的数据传输,同时简化系统设计,降低生产和维护成本,因此成为许多产品设计中的优选通信方案。


ACL16_A系列:1-Wire硬件特点


• 1-Wire通信支持最大62.5kbps的高速模式


• 工作电压:1.75V-3.63V


• 工作温度:-40℃至+85℃


• 4引脚LGA封装 (1.22mm*1.22mm*0.35mm)


• 50uA(Typical) StandBy模式


• 2uA(Typical) PoweOff模式


• ESD:±8KV(HBM)